c 实现linux防火墙,Linux-C-高级-第6章-IPTable防火墙基础

最新推荐文章于 2023-02-16 15:49:09 发布
最新推荐文章于 2023-02-16 15:49:09 发布
阅读量517 收藏 1
点赞数
文章标签: c 实现linux防火墙

目录(持续更新)

第6章 IPTable防火墙基础

第一节

网络访问控制

Linux作为服务器,对外提供一些基于网络服务

通常需要网络访问控制,类似防火墙

厂家爱你访问控制包括:哪些IP可访问的服务器,协议,接口,数据包修改

如可能受到某个IP攻击,这时就禁止所有来自IP的访问

Linux 内核集成了网络访问控制功能 通过netfilter模块实现

IPTables

用户层我们可以哦那个过iptables程序对netfilter进行控制管理

netfilter可以对数据进行允许 丢弃 修改操作

netfilter支持通过以下方式对数据包进行分类

源IP地址

目标IP地址

使用接口

使用协议 ( TCP UDP ICMP )

端口号

连接状态 ( new ESTABLISHED RELATED INVALID)

过滤点

INPUT 出流量

FORWARD 转发数据

OUTPUT 入流量

PREROUTING 路由前

POSTROUTING 路由后

过滤表

三种表:

filter (chain)用于对数据进行过滤 只用在 INPUT FORWARD OUTPUT 过滤点

nat用以多数据包的源,目标IP地址进行修改 只用在 OUTPUT PREROUTING POSTROUTING过滤点

mangle用以对数据包进行高级修改 用于所有过滤点

常用功能

作为服务器

过滤本地流量

过滤本地发出流量

作为路由

过滤转发流量

修改转发数据

规则

通过规则对数据进行访问控制

一个规则使用一行配置

规则按顺序排列

当收到发出转发数据包时,使用规则对数据包进行匹配,按规则顺序进行逐条匹配

数据包按照第一个匹配上的规则执行相关动作:丢弃,放行,修改

没有匹配规则,则使用默认动作(每个检查点都有默认动作)

通过命令 iptables -t filter -A INPUT -s 192.168.1.1 -j DROP

表 链 匹配属性 动作

表:规定使用的表(filter nat mangle 不同表有不同功能)

链:规定过滤点 INPUT FORWARD OUTPUT PREROUTING POSTROUTING

匹配属性:规定匹配数据包的特征

匹配后的动作:放行 丢弃 记录 ACCEPT DROP REJECT

第二节

基础配置

表:规定使用的表

filter

nat

mangle

链:规定过滤点

INPUT

FORWARD

OUTPUT

PREROUTING

POSTROUTING

匹配属性:

规定匹配数据包的特征

源,目标地址 ,协议(TCP UDP ICMP )

端口号

接口

TCP状态

匹配后的动作:

放行 ACCEPT

丢弃 DROP

记录 REJECT (返回信息)

命令操作(临时生效)

iptables status 查看默认状态

列出现有所有规则

iptables -L

插入一个规则

iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT

插入到规则第3条 所有端口22的TCP数据全部允许进入

删除一个iptables规则

iptables -D INPUT 3

iptables -D INPUT -s 192.168.1.2 -j DROP

删除所有规则

iptables -F

参数匹配

基于IP地址

-s 192.168.1.1 源地址

-d 10.0.0.0/8 目标地址

基于接口

-i eth0 接收流量

-o eth1 发出流量

排除参数

-s '!' 192.168.1.0/24 !为取反操作

基于协议及端口

-p tcp --dport 23

-p udp --sport 23

-l icmp

例:

检测到来自192.168.1.100攻击 屏蔽所有这个IP的流量

iptables -A INPUT -s 192.168.1.100 -j DROP

屏蔽所有访问80网页服务的流量

iptables -A INPUT -s tcp --dport 80 -j DROP

屏蔽所有192.168.1.0到服务器的22端口ssh流量

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP

iptables -A INPUT -i eth0 -j ACCEPT

FORWARD 路由设备使用

FORWARD 对所有数据转发控制

如:禁止所有 从192.168.1.0/24 到目标10.1.1.0/24 的流量

iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP

NAT

NAT 网络地址转换是用来对数据包的IP地址进行修改的机制,NAT分为两种

SNAT 源地址转换 常用伪装内部地址

DNAT 目标地址转换 通常用于跳转

iptables 中实现的 NAT 功能是NAT 表

常用NAT

通过NAT 进行跳转 转发到192.168.1.10

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.10

DNAT 只能用在PREROUTING上

通过NAT 进行出向数据跳转

iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.1.100:8080

通过NAT对数据伪装 一般意义的NAT 将内部地址全部伪装为一个外部公网IP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

所有内网地址伪装成eth0个公网IP地址

通过NAT隐藏IP

iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.4

保存配置文件

通过iptables修改需要写入/etc/sysconfig/iptables配置文件

可以通过命令将iptables规则写入配置文件 保存后会覆盖

service iptables save

注意

远程管理 修改iptables

需要允许来自客户端主机的SSH流量确保是第一条iptable规则

以免失误将自己锁在外面

lixiyuan198887
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用C++编写的防火墙
05-01
个人简易防火墙,C++,程序代码很全。是很好的学习例子
用C、C++完整防火墙源代码
01-13
Xfilter 源代码完整的文件列表 ------------------------------------------------------ .\Common .\Lib .\Property .\Release .\TcpIpDog .\Xfilter.dsw .\readme.txt .\filelist.txt .\Common\XLogFile.h .\Common\XLogFile.cpp .\Common\XInstall.cpp .\Common\XFile.h .\Common\XInstall.h .\Common\XFile.cpp .\Common\Debug.h .\Common\XFileRes.h .\Lib\htmlhelp.h .\Lib\htmlhelp.lib .\Property\Property.opt .\Property\Property.aps .\Property\Property.dsp .\Property\Property.rc .\Property\Property.clw .\Property\ReadMe.txt .\Property\resource.h .\Property\NetIPAria.h .\Property\GuiRes.h .\Property\AclSet.cpp .\Property\SetTime.h .\Property\Acl.cpp .\Property\SetNet.h .\Property\MainSheet.h .\Property\AclSet.h .\Property\Register.h .\Property\SystemSet.cpp .\Property\Splash.h .\Property\Property.dsw .\Property\Acl.h .\Property\Property.ncb .\Property\Splash.cpp .\Property\Property.h .\Property\LogQuery.h .\Property\SetTime.cpp .\Property\MainSheet.cpp .\Property\SetNet.cpp .\Property\NetIPAria.cpp .\Property\About.cpp .\Property\StdAfx.h .\Property\StdAfx.cpp .\Property\SystemSet.h .\Property\Register.cpp .\Property\About.h .\Property\LogQuery.cpp .\Property\Property.cpp .\Property\NetTimeSheet.h .\Property\PacketMonitor.h .\Property\Property.plg .\Property\NetTimeSheet.cpp .\Property\PacketMonitor.cpp .\Property\Internet .\Property\MainFrame .\Property\SystemTray .\Property\res .\Property\HyperLink .\Property\Internet\Internet.cpp .\Property\Internet\Internet.h .\Property\MainFrame\MainFrame.cpp .\Property\MainFrame\mainframe.h .\Property\SystemTray\SystemTray.cpp .\Property\SystemTray\SystemTray.h .\Property\res\Property.rc2 .\Property\res\NULL.ico .\Property\res\Property.ico .\Property\res\about.bmp .\Property\res\Alert.ico .\Property\res\DenyEx1.ico .\Property\res\PassEx1.ico .\Property\res\QueryEx1.ico .\Property\res\splash.bmp .\Property\res\MEMO.ICO .\Property\res\ALERTSET.ICO .\Property\res\APPSET.ICO .\Property\res\BASESET.ICO .\Property\res\COMMONSET.ICO .\Property\res\Monitor.ico .\Property\res\NETSET.ICO .\Property\res\SUPERSET.ICO .\Property\res\TIMESET.ICO .\Property\res\Xfilter.ico .\Property\res\IPSET.ICO .\Property\res\Email.ico .\Property\res\QueryResult.ico .\Property\res\QuerySet.ICO .\Property\res\UserInfo.ico .\Property\res\ACLSET.ICO .\Property\res\Message.ico .\Property\HyperLink\HyperLink.cpp .\Property\HyperLink\HyperLink.h .\Release\xacl.cfg .\Release\Xfilter.chm .\Release\Xfilter.exe .\Release\Xfilter.dll .\Release\xlog.dat .\TcpIpDog\StdAfx.cpp .\TcpIpDog\TcpIpDog.dsp .\TcpIpDog\LspServ.def .\TcpIpDog\ReadMe.txt .\TcpIpDog\CheckAcl.cpp .\TcpIpDog\TcpIpdog.cpp .\TcpIpDog\Codes.h .\TcpIpDog\TcpIpDog.h .\TcpIpDog\ProtocolInfo.h .\TcpIpDog\CheckAcl.h .\TcpIpDog\StdAfx.h .\TcpIpDog\ProtocolInfo.cpp .\TcpIpDog\TcpIpDog.plg
iptables(8) command
Dablelv 的博客专栏。
12-17 5117
iptables/ip6tables 是 IPv4/IPv6 包过滤和 NAT 的管理工具。iptables/ip6tables 命令是 Linux 上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。iptables/ip6tables 均是 xtables-multi 的软链。
C语言编写简易病毒
热门推荐
Ray的博客
09-01 7万+
本次实验设计的是一个基于C语言的恶意代码,其执行流程如下: 1、 在病毒第一次执行时,即检测到注册表的任务管理器没有被禁用,则病毒依次执行以下功能: 创建开机启动项,在系统目录路径下面复制文件,将其作为自启动路径; 禁用任务管理器; 禁用注册表编辑器; 联网获取图片并修改桌面背景(重启生效); 修改注册表屏蔽用户键盘输入为1(重启生效); 删除驱动器盘符,使桌面以及开始菜单快捷方式失
iptables使用详解
跟派大星学编程
04-03 453
1. 安装iptables #检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #安装iptables-services yum install iptables-services 使用了iptables之后,记得把系统自带得firewalld给禁用掉 # 停止firewalld服务 sys...
Iptables介绍和实用使用方法
cbuy888的博客
05-20 8180
一、简介1)---> IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统,在redhat7.1 centos7.1以上都内置装有。2)---> iptables 的最大优点是它可以配置有状态的防火墙,有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。 -状态 ESTABLISHED 指出该信息包...
iptables防火墙详解
虎哥LoveDroid
02-16 1614
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptablesLinux 管理防火墙规则的命令行工具,处于用户空间。
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1602
1.前言 Netfilter/iptablesLinux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
libiptc库的使用,实现iptables命令对nat表的部分操作(添加)
weixin_44524614的博客
11-28 1282
linux通过iptc库完成iptables系统命令
Linux C++ 局域网访问外网ip、端口之iptables配置
sz76211822的专栏
12-04 546
第一步:安装iptables yum install -y iptables yum install -y iptables-services 第二步:配置端口映射 1.将所有网段转发至路由机公网ip(动态): iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 2.内部端口映射 iptables -t nat -A PRER...
关于 用c写防火墙的讨论
我们俩
10-03 2698
问题:我想知道怎样获得IP包的信息,有获取IP包的函数吗?1.linux(unix)下:libpcap windows下:winpcap(libpcap在windows上的移植)或写windows ddk2.防火墙是不能通过libpcap这样的东西来做的,libpcap是复制包,其实业就是旁路,而不是在包的转发过程中进行一些处理,所以是不能作为防火墙的获取方式的,但是可以作为IDS
iptables教程-linux-iptable防火墙-基本认识.docx
11-29
iptables教程-linux-iptable防火墙-基本认识.docx
linux防火墙查看状态firewall、iptable
05-22
linux防火墙
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
linux 检测 iptables 是否有重复的规则
whatday的专栏
01-02 3075
iptables新版本中有 -C 选项进行检测。如下: # iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT iptables: Bad rule (does a matching rule exist in that chain?). # echo $? 1 # iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT # iptables -C INPUT -p tcp --dport 8080 --
[iptables] 使用libiptc下发iptables规则
hanfs390的博客
05-09 3186
1、库libiptc 什么是libiptc libiptc是用于与netfilter通信的库,netfilter是负责防火墙和数据包过滤的内部内核代码。这段代码和iptables由Paul“Rusty”Russell编写。iptables是使用libiptc调用开发的,以完成工作。 如何获取这些知识 文档参考地址: http://tldp.org/HOWTO/Querying...
c++ 防火墙设计模式PImpl
流媒体巅峰之路
09-24 918
编译防火墙~PImpl [3] CrazyRabbit 人民广场放鸽子大赛唯一到场选手 PImpl(Pointer to implementation)是一种C++编程技术,其通过将类的实现的详细信息放在另一个单独的类中,并通过不透明的指针来访问。这项技术能够将实现的细节从其对象中去除,还能减少编译依赖。有人将其称为“编译防火墙(Compilation Firewalls)”。 Herb Sutter(C++标准委员会成员)写了一些相关的博客,对其博客做一个翻译记录: GotW #7a Sol
iptables规则的查看、添加、删除和修改
weixin_33788244的博客
01-24 2964
这里只列出比较常用的参数,详细的请查看man iptables 1、查看 iptables -nvL –line-number -L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数 -n 不对ip地址进行反查,加上这个参数显示速度会快很多 -v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口 –l...
-bash: iptable: command not found
最新发布
10-18
这个错误提示是因为你在使用 iptables 命令时,系统找不到该命令。可能是因为你的系统没有安装 iptables 或者你没有使用 root 用户权限执行该命令。你可以尝试使用以下命令来安装 iptables: ``` sudo apt-get update sudo apt-get install iptables ``` 如果你已经安装了 iptables,可以尝试使用以下命令来查看是否有权限执行该命令: ``` sudo iptables -L ``` 如果你还是无法执行该命令,可能需要检查你的系统是否有其他安全软件或防火墙阻止了该命令的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值